포스팅 내용

악성코드 분석 리포트

군비 통제 관련 기사 문서로 위장한 악성코드 주의



안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


최근 '군비 통제 관련 기사 문서'로 위장한 악성코드가 발견되어 이용자들의 주의를 당부드립니다.



이번 악성코드에서는 지난 '남북 회담 인터뷰 기사 문서'에 쓰인 것과 동일한 코드가 사용되었으며, 드롭퍼로서 'C:\Users\(사용자 계정)\AppData\Local\MFAData\event\' 경로에 'errors.dll' 악성 파일을 드롭합니다. 


[그림 1] 파일 드롭 코드


또한 지난 번과 마찬가지로 감염된 사실을 숨기기 위해, 군비 통제 관련 기사 내용이 담긴 문서를 드롭한 뒤, 실행합니다.


[그림 2] 군비 통제 내용이 담긴 기사 문서 내용


이용자에게 보여주는 문서에는 러시아어로 작성된 군비 통제와 관련된 내용이 담겨져 있지만, 문서 속성은 다음 그림과 같이 제목에 'S. Korea fires warning shots at N. Korea after soldier defection(군인 탈출 이후, 남한에서 북한을 향해 경고탄을 발사하였다)'로 되어져 있습니다. 즉, 공격자가 문서를 수정하여 사용했음을 나타냅니다.


[그림 3] 남한 관련 내용이 담긴 제목 속성


또한 지난 '남북 회담 기사 문서'와 동일하게 만든이는 중국식 이름인 '朱熠锷', 마지막 수정한 사람이 'John'으로 되어져 있습니다.


최종적으로 드롭된 errors.dll은 C&C 서버(checksessionmail.esy.es)에서 받아온 명령에 따라 시스템 정보 전송, 파일 전송, 화면 캡쳐 전송 등의 다양한 악성행위를 수행하여 정보 유출 피해가 발생할 수 있습니다.


[그림 4] 명령에 따른 다양한 악성행위


한편 이번 악성코드에서 발견된 PDB 정보는 다음과 같으며, 지속적으로 변종이 만들어지고 있습니다.


※ 이번에 발견된 PDB 정보


F:\0_work\planes\2018\0328\Doc7\Release\Doc.pdb(2018.04.04 14:50:28 UTC)


※ 과거에 발견된 PDB 경로 중 일부


F:\0_work\planes\2018\0328\Doc7\Release\Doc.pdb(TimeStamp : 2018.03.29 07:21:34(UTC))

F:\0_work\planes\2017\0704\Doc7\Release\Doc.pdb(TimeStamp : 2017.07.04 14:22:35(UTC))

└ F:\0_work\planes\2017\0626\virus-load\_Result\virus-dll.pdb(드롭된 DLL)

F:\0_work\planes\2017\0508\Doc7\Release\Doc.pdb(TimeStamp : 2017.05.08 10:54:49(UTC))

└ F:\0_work\planes\2017\0502\virus-load\_Result\virus-dll.pdb(드롭된 DLL)

[표 1] PDB 정보


공격자들은 사회적 트렌드나 이슈를 악성코드에 이용하고 있어, 주의가 필요합니다. 따라서 악성코드에 감염이 되지 않기 위해서는 검증되지 않은 파일을 실행하기 전, 백신 프로그램을 이용하여 악성 여부 검사를 수행해주시기 바랍니다.


현재 알약에서 관련 샘플을 'Trojan.Fuerboos'로 진단하고 있습니다.




티스토리 방명록 작성
name password homepage